Siber Saldırı Senaryosu Nasıl Gerçekleştirilir? Duygu ateş

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları ve İnternet
Advertisements

TCP/IP Mimarisi ve Katmanları
OSI Referans Modeli Açık Sistem Bağlantıları (Open Systems Interconnection - OSI ) Bilgisayarlar arası iletişimin başladığı günden itibaren farklı bilgisayar.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
BBY 302 Bilgi Teknolojisi ve Yönetimi
TEMEL AĞ TANIMLARI.
Ethical Hacking 1. Bölüm Eyüp ÇELİK
WEB SAYFASI NASIL HAZIRLANIR?
HTTP’yi (istemci tarafı) kendi kendinize deneyin
Web Host Manager (WHM) Nedir Ne İşe Yarar ?
İNTERNET.
İNTERNET VE İLETİŞİM.
Bilgi Teknolojisinin Temel Kavramları
“IPv6 Balküpü Tasarımı”
İÇERİK Ağ İzleme Ağ güvenliği için Tehlikeli Protokoller
Proxy-DNS Nedir?.
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
AĞ PROTOKOLÜ.
DOVECOT İLE IMAP VE POP3 SERVER KURULUMU
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
Internet.
AĞ GÜVENLİĞİ.
2- OSI BAŞVURU MODELİ & TCP/IP MODELİ
TCP/IP.
ARP DİNLEME.
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
Çerez(Cookie) Kullanımı Oturum Yönetimi
Ağ PROTOKOLLERİ.
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.
İnternet Teknolojisi Temel Kavramlar
WEB TASARIMINDA TEMEL KAVRAMLAR
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
SAMED ÖZCAN T-12/D 2446
Internette iki çe ş it adresleme kullanılır. IP numarası herhangi bir bilgisayar internete ba ğ landı ğ ı anda, dünya üzerinde sadece ona ait olan bir.
BLM619 Bilgisayar Ağları ve Uygulamaları
BİLGİSAYARDA GÜVENLİK
 Bilgisayarlar arasında bilgi alışverişini, dosya iletimini sağlamaktadır.  Bu protokol kullanılarak, internet üzerinde bulunan herhangi bir bilgisayarda.
METU-CC ODTÜ AntiVirüs Sistemi ODTÜ Bilgi İşlem Daire Başkanlığı İbrahim ÇALIŞIR 3 Ekim 2003.
İnternet Teknolojisi Temel Kavramlar
Chapter 5. Ağ Protokolleri
Bilgisayar ve Veri Güvenliği
Bilgi Teknolojisinin Temel Kavramları
 Bilgisayar kullanan her kişinin en büyük sorunu virüslerdir. Hemen hemen her kullanıcının sürekli olarak virüslerden yakındığını görürsünüz. Birçok.
Yönlendirici (Router) Güvenliği
KIRKLARELİ ÜNİVERSİTESİ
GÜVENLİĞİ TEHDİT EDEN UNSURLAR
S İBER G ÜVENLİĞE G İRİŞ S IZMA T ESTLERİ Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Musa BALTA.
1- YEREL ALAN AĞI - LAN 2-GENİŞ ALAN AĞI - WAN
KÖTÜ AMAÇLI YAZILIMLAR
İNTERNET.
Ertürk YILDIRIM FİREWALL. Firewall Nedir? Eğer belli bir süredir internet kullanıyorsanız ya da birçok bilgisayarlardan oluşan bir ağ ortamında.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
Bilgi İşlem Organizasyonu Güz Dönemi Server Çeşitleri ve Aralarındaki Farklar – Burak Eray KAYIŞ.
FTP Nedir ? Deniz Kaya FTP NEDİR ? Ftp (File Transfer Protocol), dosya gönderme protokolü manası gelir. Bir bilgisayardan bir başka bilgisayar.
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
TCP /IP ADRESLEMESİ.
Virüsler ve Diğer Zararlı Yazılımlar
Bilgi İşlem Organizasyonu
Dünyanın bilgisine açılan pencere...
DOMAIN SERVER DOMAIN NEDIR ?
HAZIRLAYAN HÜRREM SİNCAP
ACTIVE DIRECTORY.
PORTLAR Gizem GÜRSEL
Temel Internet Kullanımı Y. Doç. Dr. M. Sıtkı İlkay Ekim 2006.
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
OSİ Modeli.
Sunum transkripti:

Siber Saldırı Senaryosu Nasıl Gerçekleştirilir? Duygu ateş

Siber Saldırı Nedir? Siber saldırının en genel tanımı ; Bilgi sistemleri doğrultusunda elektronik araçların bilgisayar programlarının ya da diğer elektronik iletişim biçimlerinin kullanılması aracılığıyla ulusal denge ve çıkarların tahrip edilmesini amaçlayan kişisel ve politik olarak motive olmuş amaçlı eylem ve etkinliklerdir. Günümüzde yaygınlaşan internet kullanımıyla birlikte siber saldırı, bir diğer deyişle sanal saldırı olayları da artmaktadır.

Hacker ve Cracker Nedir? Türkiye'de bu iki farklı tanım için bir kavram karmaşası olduğu gözlenmektedir. Hacker'lar genellikle cracker kimlikleri ile karşımıza çıktığı için genellikle sistemlere sızan zarar veren kötü kişiler olarak bilinirler. Oysaki bu iki tanımında ne anlama geldiğini incelediğimizde aslında ikisinin de birbirinden farklı olduğunu göreceğiz. 

Hacker'lar her türlü işletim sisteminin yapısı ve derinlikleriyle ilgilenen kişilerdir. Hackerlar genellikle çok iyi programcılardır ve işletim sistemleriyle ve programlama dilleriyle ilgili olarak çok üst düzeyde bilgiye sahiptirler. Sistemlerde bulunan açıkları ve sebeplerini iyi bilirler ve hepsinden önemlisi hackerlar her zaman için daha fazla şey öğrenmek için uğraşırlar ve de öğrendiklerini diğerleriyle paylaşırlar. Hiç bir zaman kasıtlı olarak zarar verme eğiliminde değildirler. Cracker'lar kötü niyetli kişilerdir ve sistemlere girerek bilgi çalarlar ve sisteme zarar verebilirler. Hedeflerine sızmayı başaran crackerlar önemli bilgileri silebilir sistemin işleyişini durdurabilirler, kısacası gittikleri yere sorunları da beraberinde götürürler. Bu kötü niyetleri ve işleri yüzünden crackerları tanımak çok kolaydır.

Firewall Ne Demektir? Temel olarak firewall ağ sistemlerini internet ortamından gelecek kötü kodlar, virüsler, hackerlar ve zararlı web siteleri gibi birçok olumsuz içerikten korumak için tasarlanmış donanımlardır. 

Firewall lar yukardaki resimde gösterildiği gibi veri paketlerinin geçişine izin verir ya da reddeder. Buna paket filtrelemesi denir. Firewall lar ağ trafiğini denetlemek için birkaç method kullanırlar. Paket filtrelemesi de bunlardan biridir. Firewall bazı ön tanımlı konfigrasyonlarla gelirler bunlar; Ip adresleri Alan adları (domain names) Protokoller IP, TCP, HTTP, FTP, UDP, ICMP, SMTP,SNMP, TELNET Portlar Belli başlı kelimelere göre

Neden Firewall Güvenliğine İhtiyacımız Var remote login - uzaktan erişim Aplication back doors – arka kapı uygulamaları Dos (denial of service) attacks - Servis reddi atakları Smtp Session Hijacking - Eposta protokolü oturum çalınması Operating system bugs - İşletim sistemi hataları Email bombs - Eposta bombaları Macros - Makrolar Virusus – Bilgisayar virüsleri Spam - Zararlı epostalar Source rating- Kaynak Saptırma

Saldırı Senaryosu Cracker’in planli yaptığı bir saldıryı adım adım anlatacağım şimdi. Öncelikle saldiri yaplacak hedef sistemde herhangi bir firewall olmadigini var sayiyoruz. (Tabi artik günümüzde firewall network icin vazgecilmez bir arac haline gelmistir ve gün gectikce Internet’e bir sekilde firewall kullanmadan baglanan bir sistem bulmak imkansizlasmaktadir.) Burada anlatilacak olan teknikler cracking icin genel bir yöntemdir. Yani her türlü sisteme saldirmak icin kullanilabilir ancak biz UNIX sistemi acisindan saldirilari inceleyecegiz.

8 aşamadan oluşmaktadır. Bunlar; Bilgi Toplama  İşletim Sisteminin Belirlenmesi  Açıkların Aranması  Test Saldırısı Yapılması Kullanılacak Araçlar  Saldırı Stratejisinin Belirlenmesi  İnceleme Aşaması Sonuç Bu aşamaları adım adım görelim.

Bilgi Toplama Cracker ilk olarak karşıdaki sistemin network tipini ve hedef makineler hakkında bilgi edindikten sonra, hedef sistemde uğraştığı kişiyi tanımak için onunla ilgili bilgi toplamaya çalışacaktır. Söz konusu kişi tabi ki sistemin yöneticiliğini yapan root erişimine sahip yöneticidir. Cracker sistem hakkında bilgi toplamak için aşağıdaki teknikleri kullanacaktır: a) Ağda bulunan tüm sistemlerle ilgili bilgi toplamak için host sorgusu çalıştıracaktır. Host komutu domain adi sunucularını (DNS servers) sorgulayarak ağ hakkındaki bulunabilecek tüm bilgileri toplar. DNS server o domainle ilgili bir çok bilgi tutarlar, asil amacı alan adlarını IP numaralarına dönüştürmektir

b-) Standart WHOIS sorgusu (alan adı sorgulama) b-) Standart WHOIS sorgusu (alan adı sorgulama). Bu sorguyla cracker o sistemin teknik sorumlusunun bilgilerini almak için kullanır. Bu kişinin e-posta adresi fazla önemli gibi görünmese de bu adres sistem hakkında çok önemli bilgiler toplamak için kullanılabilir. c-) Usenet ve Web sayfalarında aram yapmak. Cracker sisteme saldırmadan önce şimdiye kadar öğrendiği bilgiler doğrultusunda Internet’te o sistemle ilgili daha fazla bilgiye erişmek için aramalar yapacaktır. Yani Cracker eline geçirdiği sistem yöneticilerin yada teknik sorumluların e-posta adreslerini kullanarak bu kişilerin Usenet yada güvenlikle ilgili mail listelerinde görünüp görünmediklerini araştırır.

Finger Sorguları Finger Sorguları : Finger sorguları bir cracker için yukarıda değindiğimiz gibi sistem hakkında çok fazla bilgi verebilir. Sistemde logon olmuş kullanıcı ID’lerini, isimlerini, en son login oldukları yeri, mail bilgileri gibi bir çok bilgi verir.  Cracker’imiz saldırdığı sistemde şüphe uyandırmamak için Internet’te yüzlerce sitede bulunabilecek “finger gateway” lerini kullanacaktır. Bu sunucular bir web sayfasından kullanıcıdan finger sorgusu gönderilecek olan sunucu adresini alır ve o sunucuya finger sorgusunu yollayarak yine sonuçları ekrana getirir. Böylece cracker kendi gerçek IP numarasının saldırdığı sistem loglarinda görünmesini engelleyebilir. 

Tabi aslında bu gerçek bir gizlilik sağlamaz, hedef sistemdeki sistem yöneticisi çok fazla paranoyaksa bu finger gateway sunucusunun sistem yöneticisi ile temasa geçerek cracker’in gerçek IP adresini ele geçirebilir. Bu şekilde çalışan diğer bir yöntemse finger yönlendirmedir. Bu şekilde çalışan diğer bir yöntemse finger yönlendirme işlemidir. Daha önceki bölümde gördüğümüz gibi, cracker bir finger finger kullanici@gercek_sunucu.com@gecici_sunucu.com Aslında finger bir sistemdeki kullanıcıların listesini çıkarmak için kullanılan tek yol değildir bundan başka güvenlik dünyasında çok fazla güvenlik açığı bulmasıyla meşhur olan sendmail programı da kullanılabilir.

Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir. Örnek olarak;  telnet smtp_sunucusu.com 25  Bu komut smtp_sunucusu.com sunucusunun 25 numaralı portuna (yani SMTP portuna) telnet bağlantısı sağlar. SMTP mail göndermek için kullanılan bir protokoldür. Ancak telnet yapildiktan sonra SMTP sunucusunun izin verdiği bir dizi komut kullanılabilir. mail from, rcpt to, data , quit gibi komutlar çalıştırılabilir. Ancak iki tane komut vardır ki bunlar sistemdeki kullanıcılar hakkında bilgi vermektedir. Bunlar vrfy ve expn komutlarıdır. Bu komutlar sistemde bulunan bir kullanıcı ID’sini onaylamak için kullanılırlar. 

2. İşletim Sisteminin Belirlenmesi Cracker sistem yöneticisi ve ağ hakkında gerekli bilgileri topladıktan sonra saldıracağı ağda bulunan sistemlerde kullanılan işletim sistemlerini ve sürümlerini belirlemek için bir önceki kısımda anlatılan tekniklerin dışında cracker işletim sistemlerini belirlemek için ftp, telnet gibi servisleri deneyebileceği gibi hemen hemen kesin çözüm verecek olan nmap aracını kullanabilir. Nmap aslında bir port tarayıcısıdır. Ancak nmap ayni zamanda taranan sistemdeki çalışan işletim sistemini de büyük bir doğruluk oranıyla tahmin edebilmektedir. 

3. Açıkların Aranması  Cracker saldıracağı sistemlerin listesini çıkardıktan sonra her bir platform için bilinen açıkları Internet’te aramaya başlayacaktır. Bu noktaya kadar cracker aşağıdaki adımların hepsini yada belli bir kısmını belirlemiştir: -Sistem yöneticisinin kim olduğunu, -Ağdaki makineler ve işlevleri -Kullanılan işletim sistemlerini, -Muhtemel güvenlik açıklarını, -Sistem yöneticisi tarafından topoloji, yönetim, politika yada sistem yönetimiyle ilgili Internet’te yaptığı herhangi bir tartışma

4. Test Saldırısı Yapılması Bu adımda cracker saldıracağı sistemle ilgili olarak bazı noktaları açığa kavuşturmak için kendi sistemlerinde deneme saldırısı yapmayı deneyecektir. Temel amacı vardır: -Saldırılar saldırı yapan tarafından nasıl görünüyor, -Saldırılar kurban tarafından nasıl görünüyor, -Saldırgan saldırıda bulunduğu makinedeki log’ları inceleyerek karşı tarafta saldırı ile ilgili nelerin olup bittiğini anlar. Bu şekilde cracker karşı sistemde saldırıdan kalan izleri bilir.

5. Kullanılacak Araçlar  Cracker bir sonraki adımda kullanacağı araçları belirleyip toplayacaktır. Bu araçlar genellikle tarayıcılardır. Hedef sistemdeki çalışan servislerin belirlemesi gerekmektedir.  Bunun için port tarayıcılarından yararlanılmaktadır. Port tarayıcıları içinde en ünlü ve kapsamlı olanı nmap aracıdır.

6. Saldırı Stratejisinin Belirlenmesi Cracker planlı bir saldırıyı bir neden olmadan yapmayacaktır. Benzer bir şekilde saldırı yapacağı bir sisteme de belli bir planı olmadan saldırmayacaktır. Cracker’in saldırı stratejisi yapmak istediği işe göre değişir.  Örnek olarak cracker topladığı tüm bilgilerden saldıracağı ağın bazı bölümlerinin router , switch , birdge yada diğer cihazlarla segmente edildiğini bulursa bu kısımları tarama dışı bırakabilir. Bundan sonra tarama işlemine geçebilir.

7. İnceleme Aşaması  Cracker taramalardan sonra bulduğu sonuçların incelemesine başlayacaktır. Bu işlem cracker’in bulduğu sonuçlara bağlıdır. Artık çoğu tarayıcı, SAINT, twwwscan, CIS... buldukları açıklarla ilgili olarak açıklayıcı bilgi ve o açıkla ilgili Internet adreslerini de vermektedirler. Hatta SATAN, SAINT gibi tarayıcılar açıklarla ilgili veri tabanları da tutmaktadırlar sadece bunların incelenmesi bile cracker için çok önemli bilgiler sağlayabilir.  Bu noktada cracker daha önce açıkları toplamak için bas vurduğu sitelere giderek , BUGTRAQ gibi, bulduğu açıklarla ilgili olarak daha ayrıntılı bir araştırma yapabilir. 

8. Sonuç Cracker’in nerelerden nasıl saldıracağını bilirsek ve atacağımız adımlarda bu noktalara da dikkat ederek açık verecek bir durum oluşturmamış oluruz.